Dolandırıcılık Yönetimi ve Siber Suçlar, Yönetişim ve Risk Yönetimi, Yama Yönetimi
Uzmanlar, Yüksek Düzeyde Otomasyona Sahip Çok Sayıda Kampanyanın Kalıcı Web Kabuklarını Düşürdüğünü Söyledi
Mathew J. Schwartz (euroinfosec) •
29 Ağustos 2023
Citrix NetScaler yöneticileri, fidye yazılımı kullandığından şüphelenilen bir suç grubunu engellemek için günlükleri önceki güvenlik ihlallerine ilişkin işaretler açısından incelemeli ve uyarının halihazırda yama uygulanmış cihazlar için bile geçerli olduğunu söyleyen siber savunucuları uyarmalıdır.
Ayrıca bakınız: İsteğe Bağlı Web Semineri | Üçüncü Taraf Riski, ChatGPT ve Deepfakes: Günümüzün Tehditlerine Karşı Savunma
Uyarı, web kabuklarını düşürmek için kod enjeksiyon kusurundan yararlanan toplu saldırıları takip eden güvenlik firması Sophos’tan geliyor. CVE-2023-3519 olarak takip edilen kusur, Citrix NetScaler Application Delivery Controller ve NetScaler Gateway cihazlarını etkiliyor.
Web kabukları, saldırganlara bir sunucuya kalıcı, uzaktan erişim sağlayarak ek kötü amaçlı kod yürütmelerine ve ağ içindeki diğer cihazları hedeflemelerine olanak tanır. Citrix, kusur için bir yama yayınladı ancak uzmanlar, düzeltmenin, saldırganların önceden yüklemiş olabileceği ve yeniden başlatma sırasında hayatta kalan web kabuklarını silmediğini söylüyor.
Savunmasız NetScaler ana bilgisayarlarını hedef alan bilinen en son kampanya Ağustos ortasında başladı ve taktiklere ve araçlara dayalı olarak “fidye yazılımı saldırılarında uzmanlaşmış bilinen bir tehdit aktörünü” içeriyor gibi görünüyor Sophos söz konusu.
Kullanıcılar özelleştirilmiş günlük kaydı yapılandırmamışsa, saldırganların güvenlik açığı olan bir cihazdaki bir web kabuğunu ihlal edip etmediğini ve ne zaman düşürdüğünü belirleme çabaları zor olacaktır. İnterneti tarayan Shadowserver Foundation, NetScaler uygulama erişim günlüklerinin “merkezi/özel günlük kaydı yapılandırılmadığı sürece 24 saat sonra, varsayılan olarak her saat başı döndürüldüğü ve yalnızca 25 rotasyon tutulduğu” için döndürüldüğünü ve dolayısıyla kaybolduğunu söyledi. Kötü amaçlı etkinlikleri tanımlayın ve izleyin.
Hedef: CVE-2023-3519
Citrix, ilk olarak 18 Temmuz’da saldırganların CVE-2023-3519’u savunmasız bir cihazda kimlik doğrulamasız uzaktan kod yürütmek için kötüye kullanabileceği konusunda uyardı. İşte o zaman yamalar yayınladı ve güvenlik açığının halihazırda vahşi ortamda kullanıldığı konusunda uyarıda bulundu.
ABD Siber Güvenlik Altyapısı ve Güvenlik Ajansı da 20 Temmuz’da saldırganların “bu güvenlik açığını kritik bir altyapı kuruluşunun üretim dışı ortamı NetScaler ADC cihazına bir web kabuğu bırakmak için sıfır gün olarak kullandığı” konusunda uyardı. CISA uyarısı, tehlike göstergelerini ve tehdit avcıları için diğer yönlendirmeleri içerir.
Shadowserver, geçen ay kusuru hedef alan üç toplu istismar kampanyası gördüğünü bildirdi. İlki 20 Temmuz’da başladı. Web kabuğu komutları bir ProtonVPN çıkış düğümünden geliyormuş gibi görünüyordu. İkincisi 20-21 Temmuz tarihleri arasında gerçekleşti. Üçüncüsü 31 Temmuz’da gerçekleşti ve saldırıların bir parçası olarak ExpressVPN uç nokta IP adreslerini kullandığı ortaya çıktı.
Bu kitlesel sömürü kampanyaları ilk başladığında NCC Group’un Fox-IT’si, güvenlik açığına sahip 31.127 Citrix ana bilgisayarının bulunduğunu söyledi.
Sophos, kusuru hedef alan bilinen en son toplu saldırı kampanyasının Ağustos ortasında başladığını ve saldırganların bu güvenlik açığını “etki alanı çapında bir saldırı gerçekleştirmek için bir kod enjeksiyon aracı olarak” kullandığını ve bu saldırının fidye yazılımı kullanan bir grubu içerdiğini söyledi. Güvenlik firması Bleeping Computer’a, saldırıların Syssphinx ve White Rabbit olarak da bilinen mali odaklı FIN8 hack grubuyla bağlantılı olduğuna dair orta düzeyde güven olduğunu söyledi.
Güvenlik firması Symantec’in bildirdiğine göre, son yıllarda FIN8, satış noktası kötü amaçlı yazılım saldırılarından, geçen yılın sonlarından bu yana BlackCat – diğer adıyla Alphv – kripto kilitleyen kötü amaçlı yazılım da dahil olmak üzere fidye yazılımı dağıtmaya yöneldi.
Web Kabuğu Sayısı Artıyor
7 Ağustos’ta Shadowserver, web kabuklarının bulaştığı 600 yamalanmamış ana bilgisayarın ve web ana bilgisayarlarının bulaştığı bilinmeyen sayıda yamalı ana bilgisayarın bulunduğunu kaydetti.
14 Ağustos itibarıyla Fox-IT, 1.248 ana bilgisayarın CVE-2023-3519’u düzeltmek için yamalanmış olmasına rağmen 1.828 ana bilgisayarın web kabuklarına sahip olduğunu bildirdi. Fox-IT, “Bu, çoğu yöneticinin bu güvenlik açığının farkında olduğunu ve o zamandan beri NetScaler’larını güvenlik açığı olmayan bir sürüme yamamış olmasına rağmen, başarılı bir şekilde yararlanma işaretleri açısından doğru şekilde kontrol edilmediklerini gösteriyor.” dedi.
Bu, Sophos’un tüm NetScaler savunucularına günlüklerini ve “özellikle Temmuz ortasından önceki verileri” gözden geçirmelerini tavsiye etmesine yol açtı; en son IOC’lerin ve güvenlik araştırmacılarının, saldırganların bu kusurdan ne kadar zaman önce yararlanmaya başladıklarını bilmemeleri ışığında.
Shadowserver, ele geçirilen birçok cihazın henüz kötü amaçlı faaliyetler için kullanılmamış olabileceğini söyledi. “Zamanlama saldırgana uygun olduğunda bu web kabuklarının kullanılmasını bekliyoruz” dedi. “Bu, başlangıçtaki tüm ilgi sona erdiğinde ve sistem yöneticileri/güvenlik müdahale görevlileri artık Citrix cihazlarına yakından bakmadığında da gerçekleşebilir.”